Safaris safe-search sender dine data til både Google og Kina

14. oktober 2019 kl. 10:024
Safaris safe-search sender dine data til både Google og Kina
Illustration: PixieMe, BigStock.
Udadtil lover Apple at beskytte dit privatliv, når du bruger deres Safari-browser, men når man læser det med småt, havner dine data i både Googles og kinesiske Tencents databaser.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdatering: Apple har efter artiklens udgivelse forklaret, at de ikke sender dine URLs, men kun din IP-adresse

Glem alt om at holde noget hemmeligt i Apples mobilbrowser. Brugere, der benytter Safe-search i Safari, får nemlig sendt deres IP-forespørgsler forbi både Google og kinesiske Tencent, der har ret til at logge forespørgslen.

Det skriver Reclaim the net, der især ser problemer i samarbejdet med Tencent, da den kinesiske virksomhed arbejder tæt sammen med den kinesiske regering og bl.a. har gennemført omfattende censur på nettet.

Når man kigger under Safaris privatlivsindstillinger på engelsk, møder man en dialogboks, der forklarer:

Artiklen fortsætter efter annoncen

»Before visiting a website, Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address.«

Safe-search-funktionen er ellers bragt i verden for bl.a. at minimere, hvor meget data der kan indsamles om brugeren, og mens den givetvis stadig reducerer den totale mængde, så er det ikke nødvendigvis Google og Tencent, man forventer fortsat bliver fodret vores IP-historik.

Matthew Green, der underviser i kryptografi ved det amerikanske Johns Hopkins-universitet, har lavet en blog om denne problemstilling. Green skriver følgende på Twitter om situationen.

Hvad værre er, ser det ud til, at det ikke er nyt, men faktisk har stået på i årevis, og der er på nuværende tidspunkt ikke et klart billede af, hvor længe videregivelsen af informationer præcist har foregået.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
15. oktober 2019 kl. 16:07

"Glem alt om at holde noget hemmeligt i Apples mobilbrowser. Brugere, der benytter Safe-search i Safari, får nemlig sendt deres IP-forespørgsler forbi både Google og kinesiske Tencent, der har ret til at logge forespørgslen."

Har Apple nogensinde påstået at det var "safe" i betydningen "privat"/"anonym"? Eller er det bare nogen som har læst alt for meget ind i den betegnelse?

Google: "Google Safe Browsing helps protect over four billion devices every day by showing warnings to users when they attempt to navigate to dangerous sites or download dangerous files."

https://safebrowsing.google.com/

Det handler udelukkende om indhold, ikke om beskyttelse af privatliv.

3
14. oktober 2019 kl. 17:13

Safe Browsing fungerer ved at der bliver vedligeholdt en database med hashes af skumle URL'er (ikke blot domænet). For at minimere privacy-problemer, bliver databasen distribueret distribueret sammen med browseren...

Eller, ikke helt. Der er meget snavs på nettet, så databasen er for stor til at distriubere til alle. I stedet distribueres en prefix-begrænset version af databasen (lidt ligesom haveibeenpwned k-anonymity). Hvis en URL givet hit i den prefix-begrænsede database, sendes forespørgsel videre til internet servicen.

Det er for så vidt et OK kompromis mellem privacy og at give sikkerhed til slutbrugerne, men der er alligevel nogle problemer. For det første introducerer Apple de her features uden at lave fornuftige offentlige udmeldinger. Derudover er det ikke helt klart hvad der styrer om Google (onde USA) eller Tencent (onde Kina) bliver brugt som backend. Og sidst, men ikke mindst, er det vist heller ikke helt at gennemskue hvilke domæne-hashes den prefix-begrænsede database indeholder.

Med et stort datasæt kan man gradvist deanonymisere folk. Og man skal være ualmindeligt blåøjet, hvis man ikke tror Apple er til fals for store nok mængde ¥¥¥ til at inkludere statsfjendtlige URL'er i databasen.

2
14. oktober 2019 kl. 14:08

At de sender URL's til validering er vel ikke det samme som at URL'en ikke er anonymiseret før man gør det.

1
14. oktober 2019 kl. 11:42

Ja, okay - men hvordan havde man forestillet sig at Apple skulle have en state of the art "safe search" uden brug af eksterne partnere til at formidle og administrere det? Og er klagen her, ikke lidt som at komme hjem til at hus ens teeenagebørn har brugt til fest i weekenden, totalt rent og så klage over der er støv på fjernsynet? Vi snakker /ENORME/ mængder data der før blev leaket - som nu er forvandlet til to enkelte opslag i stedet. Og det er endda udpenslet i privacy-informationen, hvor problemet fortsat ligger. Altså.. .. hvad er problemet ?

Og ja, hvis man forventer at det var 100% styret på ens device, efter man havde læst Privacy-teksten, så kan jeg godt se det er et problem.. men det er nok mere med ens egen forståelsesevne, end med den service Apple tilbyder her.